JavaScript Garden - 为什么不要使用 eval
evaleval?函数会在当前作用域中执行一段 JavaScript 代码字符串。
var foo = 1;function test() { var foo = 2; eval('foo = 3'); return foo;}test(); // 3foo; // 1但是?eval?只在被直接调用并且调用函数就是?eval?本身时,才在当前作用域中执行。
var foo = 1;function test() { var foo = 2; var bar = eval; bar('foo = 3'); return foo;}test(); // 2foo; // 3译者注:上面的代码等价于在全局作用域中调用?eval,和下面两种写法效果一样:
// 写法一:直接调用全局作用域下的 foo 变量var foo = 1;function test() { var foo = 2; window.foo = 3; return foo;}test(); // 2foo; // 3// 写法二:使用 call 函数修改 eval 执行的上下文为全局作用域var foo = 1;function test() { var foo = 2; eval.call(window, 'foo = 3'); return foo;}test(); // 2foo; // 3在任何情况下我们都应该避免使用?eval?函数。99.9% 使用?eval?的场景都有不使用?eval?的解决方案。
eval定时函数?setTimeout?和?setInterval?都可以接受字符串作为它们的第一个参数。
这个字符串总是在全局作用域中执行,因此?eval?在这种情况下没有被直接调用。
eval?也存在安全问题,因为它会执行任意传给它的代码,
在代码字符串未知或者是来自一个不信任的源时,绝对不要使用?eval?函数。
绝对不要使用?eval,任何使用它的代码都会在它的工作方式,性能和安全性方面受到质疑。
如果一些情况必须使用到?eval?才能正常工作,首先它的设计会受到质疑,这不应该是首选的解决方案,
一个更好的不使用?eval?的解决方案应该得到充分考虑并优先采用。